Présentation de la solution SIEM Chronicle

Le SIEM Chronicle est un service cloud conçu en tant que couche spécialisée sur l'infrastructure principale de Google. Il est conçu pour permettre aux entreprises de conserver, d'analyser et d'effectuer des recherches de manière privée dans les énormes quantités de données de sécurité et de télémétrie réseau qu'elles génèrent. Chronicle normalise, indexe, met en corrélation et analyse les données afin de fournir une analyse instantanée et un contexte sur les activités à risque.

Chronicle vous permet d'examiner les informations de sécurité agrégées de votre entreprise sur des mois ou plus. Chronicle vous permet d'effectuer des recherches dans tous les domaines accessibles dans votre entreprise. Vous pouvez limiter votre recherche à un élément, un domaine ou une adresse IP spécifique afin de déterminer s'il y a eu un problème.

Présentation de la plate-forme Chronicle

Présentation de la plate-forme Chronicle

Collecte des données

Chronicle peut ingérer de nombreux types de télémétrie de sécurité à l'aide de différentes méthodes:

  • Système de transfert: composant logiciel léger, déployé sur le réseau du client, qui prend en charge syslog, la capture de paquets et les dépôts de données existants de gestion des journaux ou de gestion des informations et des événements de sécurité (SIEM).

  • API d'ingestion: API qui permettent d'envoyer les journaux directement à la plate-forme Chronicle, ce qui évite d'avoir à utiliser du matériel ou des logiciels supplémentaires dans les environnements client.

  • Intégrations tierces: intégration à des API cloud tierces pour faciliter l'ingestion de journaux, y compris de sources telles qu'Office 365 et Azure AD.

Analyse des données

Les fonctionnalités d'analyse de Chronicle sont fournies aux professionnels de la sécurité sous la forme d'une application simple basée sur un navigateur. La plupart de ces fonctionnalités sont également accessibles de manière automatisée via les API Read. Chronicle offre aux analystes un moyen, lorsqu'ils détectent une menace potentielle, de déterminer ce que c'est, ce qu'elle fait, si elle est importante et la meilleure façon d'y répondre.

Sécurité et conformité

En tant que couche privée spécialisée reposant sur l'infrastructure de base de Google, Chronicle hérite des fonctionnalités de calcul et de stockage, ainsi que de la conception et des fonctionnalités de sécurité de cette infrastructure.

Dans le cadre de la conception de la sécurité, Chronicle stocke les identifiants utilisateur (par exemple, ceux que vous fournissez pour qu'un flux Chronicle puisse ingérer les données de journaux d'une API tierce) dans Secret Manager.

Fonctionnalités Chronicle

  • Analyse des journaux bruts: effectuez une recherche dans vos journaux bruts non analysés.
  • Expressions régulières: recherchez des journaux bruts non analysés à l'aide d'expressions régulières.

Vues d'investigation

  • Insights pour l'entreprise: affichent les domaines et les éléments qui nécessitent le plus d'examen.
  • Vue des éléments: examinez les éléments de votre entreprise pour savoir s'ils ont interagi avec des domaines suspects.
  • Vue des adresses IP: examinez des adresses IP spécifiques au sein de votre entreprise et examinez leur impact sur vos éléments.
  • Vue de hachage: recherchez des fichiers et examinez-les en fonction de leur valeur de hachage.
  • Vue du domaine: examinez des domaines spécifiques de votre entreprise et examinez leur impact sur vos ressources.
  • Vue utilisateur: examinez les utilisateurs de votre entreprise qui ont pu être affectés par des événements liés à la sécurité.
  • Filtrage procédural: affinez les informations concernant un élément, y compris le type d'événement, la source du journal, l'état de la connexion réseau et le domaine de premier niveau (TLD).

Informations sélectionnées

  • Blocs d'insights sur les assets: met en évidence les domaines et les alertes que vous pourriez examiner plus en détail.
  • Graphique de prévalence: indique le nombre de domaines auxquels un composant s'est connecté sur une période donnée.
  • Alertes de produits de sécurité populaires.

Moteur de détection

Vous pouvez utiliser le moteur de détection Chronicle pour automatiser le processus de recherche de problèmes de sécurité dans vos données. Vous pouvez spécifier des règles pour rechercher toutes les données entrantes et vous avertir lorsque des menaces potentielles et connues apparaissent dans votre entreprise.

VirusTotal

Vous pouvez lancer VirusTotal depuis Chronicle pour examiner plus en détail un élément, un domaine ou une adresse IP en cliquant sur VT Context (Contexte VT).